Register Now

Login

Lost Password

Lost your password? Please enter your email address. You will receive a link and will create a new password via email.

Login

Register Now

Canyoupwn.me ~

TR | Parola Güvenliği

Home/ TR | Parola Güvenliği

TR | Parola Güvenliği

Aralık 19 , 2016 Hardenings 0 Comments 1076 views

Teknoloji gün geçtikçe hayatımızın ayrılmaz bir parçası oldu.Teknoloji ne kadar hızlı gelişiyorsa, kişisel verilerimizi koruma ihtiyacımızda aynı hızla artmıştır. Koruma ihtiyacımızla beraber parola, şifre, pin, TAN gibi kavramları daha çok duymaya başladık. İlk başta bunlar arasındaki farkları açıklamak istiyorum.

  • Parola: Herkesin erişmesini istemediğimiz bir kaynağa, erişebilmek için önceden belirlenmiş karakter dizisidir.
  • Şifre: Gizli haberleşmeye yarayan işaretlerin tümüne verilen isimdir.
  • Pin: Kişisel tanıtım numarası diye Türkçe çevirebiliriz. 4 veya 6 rakamdan oluşur.
  • TAN: Genelde bankacılıkta kullanılan tek seferlik parolalar dır.

Bilgisayarlarımızın her gün biraz daha güçlenmesiyle beraber parola kırma güçleri de artmıştır.

Parola uzunluğu ve çözmek için gereken süreler;

  • 3 haneli →yaklaşık 0,2 Saniye
  • 5 haneli →yaklaşık 14 Dakika
  • 58 haneli →yaklaşık 53252 Saat
  • 510 haneli →yaklaşık 1179469 Hafta
  • 512 haneli →yaklaşık 84168853 Yıl
  • 515 haneli →yaklaşık 19 104 730 610 573 Yıl

Verilerimizi emanet ettiğimiz bu karakter dizisini daha güvenli hale getirmek için belli başlı yollar var.

  • Parolamız en az 8 karakterden oluşmalıdır.
  • Büyük ve küçük harfler içermelidir.
  • Harflerin yanı sıra rakam ve özel karakterlere yer verilmelidir.
  • Kişisel bilgilerimizi parola olarak KULLANMAMALIYIZ.(Örneğin adınız, soyadınız, doğum tarihiniz)
  • Sözlükteki kelimeler değiştirilmeden parola olarak kullanılmamalıdır.
  • Parolanın akılda kalıcı olması gerekir. Not olarak tutulan parolalar erişildiği zaman hiçbir anlam ifade etmez.

Hatırlanması kolay güçlü parola oluşturma ipuçları;

  • Cümlelerin baş harflerini birleştirebiliriz.
    • Bir elin nesi var, iki elin sesi var. 1Env,2Esv.
    • Ben 1980 yılında Ankara’da doğdum. B1980yAd.
  • Harf yerine rakam kullabiliriz.
    • B → 8
    • Z → 2
    • I, İ,L, → 1
    • O → 0
    • S → 5
    • G → 6
  • Bir cümledeki sadece sesli veya sadece sessiz harfleri kullabiliriz.
    • Bu örnek 1 parola.  brnk1prl.
    • Bu örnek 1 parola.  uöe1aoa.
  • Klavyedeki tuşlara sırasıyla basılarak oluşturulan parolalar GÜVENSİZDİR.
    • 123qwe  , qwe123 , asdqwe  gibi karakter dizilerinin kullanılması önerilmez.

ÖRNEK
Kullanacağımız site: https://howsecureismypassword.net

  • Siteye girdiğimizde böyle bir ekran bizi karşılıyor.

 

  • İlk başta şifremiz canyoupwnme  olsun;

 

  • Bu şifrenin kırılması 1 gün olacakmış. Şimdi CanYouPwnMe  yazıyorum;

 

  • Görüldüğü üzere sadece kelimelerin baş harflerini büyük yazarak süreyi 6 yıla çıkardım. Bir de işin içine rakam ve özel karakterleri katalım. [email protected]  yeni parolamız;

  • Parolamızın kırılması için 400 yıl gerekiyor ki bu gerçekten çok uzun bir süre 🙂

Güçlü bir parola oluşturduk fakat bunun kötü niyetli kişiler tarafından öğrenilmemesi için ne yapmalıyız. İlk başta bizim parolamıza başka insanlar nasıl erişebilir onların yollarına bakalım.Kötü amaçlı kişiler, gizli bilgilerinize ulaşmak için keylogger denilen küçük ve sizler tarafından farkedemeyeceğiniz programlardan faydalanırlar.
Bu programlar virüs niteliğinde olup, bilgisayarlarınıza resim, ses dosyası, video dosyası, mail ve çeşitli dosyalarla bulaştırılırlar. Keyloggerin görevi, sizin klavye kullanırken bastığınız tuşların harf ve rakam karşılıklarını, kötü amaçlı korsan kişiye yollamaktır. Böylelikle gizli bilgileriniz ve şifreleriniz ele geçirilmiş olur.

KeyScrambler , sizi bu duruma karşı koruyabilecek önemli bir güvenlik yazılımıdır. KeyScrambler Personal, sizin klavye ve tuş verilerinizi 38 farklı tarayıcıda koruyacak şekilde yapılmıştır. Artık siz klavyede yazmaya başladığınız andan itibaren, klavye vuruşlarınız şifrelenmeye başlayarak bilgilerinize ulaşılmasını engelleyecek. Özellikle şifre ve parola kullanarak girdiğiniz çok önemli sitelerde, gizlilik oldukça önemlidir. Bununla beraber online bankacılık güvenliği anlamında hayati önem teşkil eden güvenlik sorunlarının başında keyloggerlar gelir. Bu yazılım sayesinde, online bankacılık işlemlerinizi güvenle yapabileceksiniz.

Genel olarak stealer ve keyloggerlar TCP yerine UDP protokollerini kullanır. UDP daha az güvelidir bunun sebebi ise UDP debugging ve veriyi yeniden yollamayı desteklemez. Programınız TCP protokolünü desteklemiyor ise bu bir problem olabilir.

Phishingler

Phishinglere gelecek olursak phishingler de bir web sitenin kopyasıdır dersek yeridir. Phishingler sayesinde kullanıcılara girmek istedikleri web sitenin kopyasını açtırırlar. Bu web siteye girdiğiniz zaman da kullanıcı adı ve şifre paneline herhangi bir kullanıcı adı veya şifre girerseniz kötü niyetli kişilere ulaşır ve kötü niyetli kişiler de bu verilerinizi ele geçirmiş olurlar. Bütün bu zararlılardan korunabilmeniz için yine sağlam bir anti virüs yazılımına ihtiyacınız vardır. Anti virüs yazılımı olarak da sizlere Avira veya ESET gibi anti virüs yazılımlarını önerebiliriz. Bu anti virüs yazılımlarının içerilerinde anti – phishing gibi özellikler vardır. Zaman içerisinde anti virüs yazılımları da bu virüslerin türevlerini tespit etmiş ve bu türevlere göre de özellikler sunmaya başlamışlardır.

Stealer Nedir?

Stealer analizi diğerlerine göre daha zor olan bilgisayar güvenliğini tehdit eden zararlı yazılımdır. Stealer açıldığında kayıtlı şifreleriniz ftp veya gmail adresine gönderilir. Başlangıca eklenmez bir defa çalıştıktan sonra kendini yok eder. Tabiki bu genel stealer tanımı. Artık yeni özellikler eklendi. Özel bir hedef için hazırlanır ve şifre alındıktan sonra dosya kendini siler. Tabiki bu silme tam anlamıyla olmaz, geri getirilebilir. Local stealerlar ise genelde unuttuğunuz şifreleri görmek için kullanılır. Yazılımı açtığınızda kayıtlı şifrelerin hepsi gösterilir.

Nasıl çalışır?

Bir builder vardır. Gerekli ayarları yaparsınız ve size bir server oluşturur. Karşı tarafa bu dosya sosyal mühendislik ile açtırılır. Açıldığı anda stealerın özelliğine göre bilgisayardaki kayıtlı şifreleri gönderir ve kendini siler. Antivirüsler yakalayamayabilir. Güvenlik duvarınız güçlüyse diske eriştiğini ve bağlantı verdiğini gösterecektir. Bağlantıyı iptal edemezseniz bütün şifrelerinizi değiştirmelisiniz.

Nasıl korunuruz?

Serveri not defterinde veya hex workshop‘da açarsanız genellikle bilgilere ulaşırsınız. Şifreler genelde base64 ile şifrelenir. İnternetten decode edebilirsiniz. Onun dışında antivirüsün yanında sağlam güvenlik duvarı gerekli. Bağlantınızı şifrelemeniz çeşitli stealerlara karşı korusada %100 koruma sağlamıyor. En sağlam önlem ise çerez tutmamak. Tarayıcınız her zaman gizli modda olsun, hem geçmişi kaydetmez hem de çerez tutmaz böylelikle kayıtlı şifreniz olmaz.

 

CypmUni İYTE

About CypmUni İYTE

İzmir Yüksek Teknoloji Enstitüsü ekibi olarak siber güvenlik alanında araştırmalar yapmakta , etkinlikler düzenlemekte ve bilgilendirme faaliyetleri yapmaktayız.